Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Toolbar/TBPS (https://www.trojaner-board.de/10100-toolbar-tbps.html)

TripleJay 26.11.2004 18:07
Toolbar/TBPS
 
Ich hab nach dem eintrag schon was gesucht aber leider nixx gefunden...falls es den post schon geben sollte entschuldige ich mich für den doppelpost...ich bin selbst nich so der computercrack daher kanns sein das euch das problem was lächerlich vorkommt aber naja...meine schwester hat sich das neueste ICQ runtergeladen... sie hat dann immer brav ja gesagt, ob zusätzliche sachen installiert werden sollen....jetzt hat sie zich searchbars und anderes zeugs drauf, dass ich zu nixx zuordnen kann...auf jedenfall ist der PC jetzt viel langsamer als vorher und ich hab echt keine ahnung was ich machen soll...wär nett wenn mir jemand helfen könnte...MFG im vorraus

cacatoa 26.11.2004 18:10
Sei so gut und poste ein HiJackThis Logfile rein!
cacatoa

Haui45 26.11.2004 18:10
Poste mal ein HijackThis Logfile -> http://filepony.de/download-hijackthis/

TripleJay 26.11.2004 18:17
sry...mach das zum ersten mal...

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SMSS.exe
C:\Programme\WeatherCast\Weather.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\TuneUp Utilities 2004\Integrator.exe
C:\Programme\Toolbar\TBPS.exe
C:\PROGRA~1\Toolbar\PIB.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TuneUp Utilities 2004\StartUpManager.exe
C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: CSBHO Class - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Dokumente und Einstellungen\All Users\Desktop\Glophone.lnk
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://defender.veloz.com/pub/download/scandl_cnry.cab
O16 - DPF: {3B7904C4-BF43-4782-B5F5-827E8DFEA1E2} (VideoDate Element) - http://www.dating.de/VideoDate_Project.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/new/bridge.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.comp...io5_3_16_0.cab
O16 - DPF: {F76DF680-EC17-4272-B1C7-CDB2641FA20B} (KB836528 Object) - http://microsoft.com/security/controls/DoomChk.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D43359B-8416-40A5-8617-6E120964EB70}: NameServer = 194.25.2.129
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll

cacatoa 26.11.2004 18:25
Sorry, bitte das ganze Logfile mit der Kopfzeile ;)

TripleJay 26.11.2004 18:32
sry...hier ist es

Logfile of HijackThis v1.98.2
Scan saved at 18:26:59, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

cacatoa 26.11.2004 18:41
Hallo,
schlechte Nachrichte:
Auf den ersten Blick hast Du den da drauf. Ein backdoor-Trojaner, mit dem nicht zu spassen ist.
Eigentlich solltest Du Dein System neu aufsetzen. Aber ich würde gerne noch einen der Kollegen hören.
cacatoa

TripleJay 26.11.2004 18:49
nunja, da wir nen server zwischen sitzen haben, meinte ein kollege von mir, dass der trojaner nich so viel schaden anrichten kann....wie darf ich denn das systemaufsetzen interpretieren?? soll ich XP neu installieren?? das würde ich ungern machen, da meine mutter auch diesen PC nutzt und da daten drauf sind die sie braucht...könnt ihr mir vielleicht auch noch sagen, wie ich die ganzen toolbars loswerde, wie z.b. tbps-toolbar oder die icqtoolbar...die wollen sich nich löschen lassen

cacatoa 26.11.2004 19:19
Hi, TripleJay,
bleib noch 5 Minuten dran.

cacatoa 26.11.2004 19:39
Hallo,
Du machst jetzt folgendes:
Du mußt Dein System updaten, SP 2 gibt es schon lange und ebenfalls neue Sicherheitspatches für den IE.

Dann lädtst Du dir Spybot S& D 1.3 runter, machst ein update und läßt es laufen.
Dann runterladen: LSPFix . Das brauchst du, falls Du nach den ganzen Arbeiten nicht mehr ins Internet kommst. Dann mußt du damit Deine winsocks reparieren. Das heißt laufen lassen und alle Einträge, die von Webhancer drinstehen nach rechts ziehen und auf "remove" clicken.
Dann clearprog 1.4.0 final runterladen und laufen lassen, d.h. auf "alles löschen" clicken, dann auf beenden. Damit sind alle temp-files und I-Net-Spuren weg.
Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes mit HiJackThis fixen (nach dem scan ein Häkchen bei den folgenden Punkten machen und auf "fix checked" clicken)

C:\WINDOWS\SMSS.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: CSBHO Class - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/new/bridge.cab

Lösche die folgenden Dateien manuell:
C:\WINDOWS\SMSS.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\Toolbar\toolbar.dll
C:\WINDOWS\bi.dll
C:\WINDOWS\System32\nvms.dll
C:\Program Files\webHancer\programs\whiehlpr.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\apuc.dll
C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\System32\msbe.dll

Dann neu booten und Systemwiederherstellung aktivieren.
Dann neues Logfile posten.
so, bis dann

TripleJay 26.11.2004 19:44
danke....wird nen moment dauern bis ich das alles gemacht hab...

cacatoa 26.11.2004 19:46
Ja, ich seh dich vermutlich erst morgen früh wieder...

cronos 26.11.2004 23:28
Im Zweifel mache einen Scan mit Escan:

http://www.trojaner-info.de//hijacker/escan.shtml

Befolge bitte die dort gegebene Anweisung aufs Wort.

Poste uns bitte danach das Ergebnis

cacatoa 27.11.2004 13:14
Guten Tag TripleJay!
na, wie weit bist du?
Den Rat von cronos häötte ich Dir als nächstes geschrieben. Mach mal ruhig gleich mit und dann schaun wir weiter.
cacatoa

TripleJay 27.11.2004 13:21
war gestern zu müde um noch viel zu machen...hab mit deiner anleitung erst heute wirklich begonnen...soll ich denn alle programme, die mir spybot anzeigt löschen??

cacatoa 27.11.2004 13:23
Spybot zeigt Dir nur das an, was nicht draufgehört. Also, laß ihn die Probleme beheben, o.k.?
cacatoa

TripleJay 27.11.2004 13:27
öhm...ich hab beim entfernen vollgendes problem....ich hab spybot runtergeladen so wie du gesagt hast...naja...als ich jetzt die deteien entfernen wollte sagt der, dass die datei CSUtil.DLL nicht vorhanden ist...was soll ich jetzt machen?

cacatoa 27.11.2004 13:35
Laß ihn löschen, was er findet und mach nochmal einen scan. (Updates gemacht?)

TripleJay 27.11.2004 13:38
da kam ne windowsmessage von wegen dieser datei, ich mußte immer ok klicken und jetzt hat sich spybot selbst deinstalliert...wohl doch nicht...ka...der pc is momentan voll am abspacken

cacatoa 27.11.2004 13:47
Was war das für eine windows-nachricht?
Wie hat sich Spybot selbst deinstalliert?

TripleJay 27.11.2004 14:01
ich komm da drauf voll nicht klar....da stand eindeutig uninstall of spybot complete...aber die datei is noch da...der hat dann doch alles entfernt...aber wenn ich erneut nen scan mache, dann sind die probleme blazefind.searchenhancer.istbar , dso exploit, huntbar und unknown wieder da

cacatoa 27.11.2004 14:05
1. Deine CSUtil.DLL kommt von Orbit explorer, das ist Malware und ein Trojan Downloader. er verändert schon mal was. Dann habe ich Dir ja ganz am Anfang gepostet, daß Du einen Backdoor-Troj drauf hast. Das gibt Schwierigkeiten.
Jetzt machst Du den Spybot, wenn er denn läuft (ansonsten neu runterladen) im abgesciherten Modus, o.k.?
Bis gleich

TripleJay 27.11.2004 16:25
Logfile of HijackThis v1.98.2
Scan saved at 16:20:14, on 27.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~2\ETRUST~1\VetTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\Programme\WeatherCast\Weather.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Debug ] C:\WINDOWS\SMSS.exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~2\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe"
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Dokumente und Einstellungen\All Users\Desktop\Glophone.lnk
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://defender.veloz.com/pub/download/scandl_cnry.cab
O16 - DPF: {3B7904C4-BF43-4782-B5F5-827E8DFEA1E2} (VideoDate Element) - http://www.dating.de/VideoDate_Project.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.comp...io5_3_16_0.cab
O16 - DPF: {F76DF680-EC17-4272-B1C7-CDB2641FA20B} (KB836528 Object) - http://microsoft.com/security/controls/DoomChk.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D43359B-8416-40A5-8617-6E120964EB70}: NameServer = 194.25.2.129
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll (file missing)

cacatoa 27.11.2004 16:35
Super, du hast upgedated.
Läuft jetzt spybot eigentlich?

Folgendes bitte im abgesicherten Modus fixen:

O4 - HKLM\..\Run: [Debug ] C:\WINDOWS\SMSS.exe

folgendes bei Jotti online scannen:
C:\WINDOWS\system32\ssoftsrv.exe

Kennst du folgende:
O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Dokumente und Einstellungen\All Users\Desktop\Glophone.lnk
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://defender.veloz.com/pub/download/scandl_cnry.cab
O16 - DPF: {3B7904C4-BF43-4782-B5F5-827E8DFEA1E2} (VideoDate Element) - http://www.dating.de/VideoDate_Project.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab

Wenn nicht, dann auch fixen.
Bitte im Anschluß neues logfile posten und über das Ergebnis von Jotti berichten.

TripleJay 27.11.2004 18:02
Logfile of HijackThis v1.98.2
Scan saved at 17:56:53, on 27.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~2\ETRUST~1\VetTray.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\WeatherCast\Weather.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~2\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.comp...io5_3_16_0.cab
O16 - DPF: {F76DF680-EC17-4272-B1C7-CDB2641FA20B} (KB836528 Object) - http://microsoft.com/security/controls/DoomChk.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D43359B-8416-40A5-8617-6E120964EB70}: NameServer = 194.25.2.129
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll (file missing)

spybot läuft noch...

cacatoa 27.11.2004 18:04
Was ist mit dem online scan von jotti wegen: C:\WINDOWS\system32\ssoftsrv.exe
Das muß ich wissen.

TripleJay 27.11.2004 18:09
Service load: 0% 100%

File: ssoftsrv.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.31 seconds taken)
ClamAV No viruses found (0.32 seconds taken)
Dr.Web No viruses found (0.50 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.48 seconds taken)

Statistics
Last piece of malware found was W32/SDBot.ARB in svhost.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.16 seconds
Avast X 1.56 seconds
BitDefender Backdoor.Agobot.3.Gen 1.07 seconds
ClamAV X 0.33 seconds
Dr.Web Win32.HLLW.ForBot.based 0.66 seconds
F-Prot Antivirus W32/Spybot.BLR 0.06 seconds
Kaspersky Anti-Virus Backdoor.Win32.Wootbot.gen 0.66 seconds
mks_vir Trojan.Wootbot.Gen 0.20 seconds
NOD32 probably unknown NewHeur_PE 0.91 seconds
Norman Virus Control W32/SDBot.ARB 0.10 seconds

cacatoa 27.11.2004 18:12
Na, dann ist es jetzt gut.
Mich würde zum Schluß dann nur noch interessieren, ob spybot noch was gefunden hat.
Bis gleich ;)
cacatoa

TripleJay 27.11.2004 18:22
da is noch advertising.com, blazefind.searchenhancer.istbar, dso exploit und mediaplex....auf jedenfall vielen dank...der pc geht wieder gut ab....nur noch eine frage...vorher hab ich immer ne adressleiste gehabt wenn ich nen ordner geöffnet hab,...die is jetzt verschwunden...wie bekomme ich dir wieder?? schon selbst geschafft

cacatoa 27.11.2004 18:27
DSO exploit ist ein Fehler bei spybot, wird mit der nächsten version behoben.
Alle anderen vernichten.
Ich weiß jetzt nicht welche Adressleiste du meinst, deshalb kann ich dazu auch nichts sagen.
Ansonsten alles gute und bleib "sauber" ;)

TripleJay 27.11.2004 18:33
spybot kann den blaze nicht entfernen

cacatoa 27.11.2004 18:38
Dann mußt Du jetzt bitte im abgesciherten Modus einen eScan (mwav.exe runtgerladen) durchführen, Anleitung genau beachten!
Das Ergebnis rein posten. Der eScan sollte das erledigen. (hat dir aber schon cronos empfohlen).

TripleJay 27.11.2004 22:33
joa...welches ergebnis meinst du denn?? also der blaze wird vom spybot noch immer identifiziert...hab alles so gemacht wie in der anleitung steht...willste das escan log haben??

cronos 27.11.2004 23:38
Ja, der escan Log ist sehr erwünscht.Wie auch in meinem ersten Post zu lesen wahr:
Solltest du nen Log von Escan haben, bitte poste ihn, solltest du keinen haben, erstelle denselben:

http://www.trojaner-info.de//hijacker/escan.shtml

Gehe bitte genau nach der gegebenen Anleitung vor.
Meld dich wieder.


MfG

Cronos

TripleJay 28.11.2004 00:56
nunja....das mit dem log is so ne sasche...escan hat zwar eins gespeichert, allerdings is das gigantisch....kann mir nich vorstellen, dass ich das richtige habe...außerdem kackt da sowohl der IE als auch Mozilla ab wenn ichs ins antwortfeld posten will....ich kann euch aber ma posten, was für sachen der gefunden hat:

File C:\Programme\WeatherCast\Weather.exe tagged as not-a-virus:AdWare.SaveNow.f. No Action Taken.
File C:\WINDOWS\hix.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\silent_install[1].exe tagged as not-a-virus:AdWare.ToolBar.EliteBar.q. No Action Taken.
File C:\WINDOWS\system32\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\WINDOWS\Temp\Altnet\dmfiles.cab tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\WINDOWS\Temp\Altnet\pmfiles.cab tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\WINDOWS\Temp\Altnet\Setup.exe tagged as not-a-virus:AdWare.Altnet.b. No Action Taken.
File C:\WINDOWS\webhdll.dll_tobedeleted tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\annakournikovapat2.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\BSINSTALL.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\DivX521XP2K.exe tagged as not-a-virus:AdWare.F1Organizer.n. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\hijackthis\backups\backup-20041127-155655-540.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\livebilliards.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\pc_yugioh_poc_tr\daby4tr2.exe tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\pc_yugioh_poc_tr.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Desktop\dtg_annak.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Eigene Dateien\setup.exe tagged as not-a-virus:AdWare.NavExcel.d. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Lokale Einstellungen\Temp\~598952.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Lokale Einstellungen\Temp\~632197.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Lokale Einstellungen\Temp\~633608.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\Dokumente und Einstellungen\Lehrmann\Lokale Einstellungen\Temp\~637803.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\My Downloads\Yu-Gi-Oh! - Power Of Chaos - Yugi The Destiny (german).rar tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.
File C:\Programme\Ares\My Shared Folder\setup.exe tagged as not-a-virus:AdWare.NavExcel.d. No Action Taken.
File C:\Programme\BearShare\Installer\BSINSTALL.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.
File C:\Programme\BearShare\Installer\saveinstwm.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.
File C:\Programme\Kazaa\My Shared Folder\download1097924387304875.dat infected by "Worm.P2P.Niklas.y" Virus. Action Taken: File Deleted.
File C:\Programme\Kazaa\My Shared Folder\download1097924388306406.dat infected by "Worm.P2P.Niklas.y" Virus. Action Taken: File Deleted.
File C:\Programme\Kazaa\My Shared Folder\dreamcast_emulator_virtual_cop_2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Kazaa\My Shared Folder\Yugioh PC Game (BIN.CUE.CCD.IMG).exe infected by "TrojanDownloader.Win32.Small.jl" Virus. Action Taken: File Deleted.
File C:\Programme\Kazaa\PerfectNavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
File C:\Programme\Save\Save.exe tagged as not-a-virus:AdWare.SaveNow.ah. No Action Taken.
File C:\Programme\Save\SaveUninst.exe tagged as not-a-virus:AdWare.SaveNow.m. No Action Taken.
File C:\Programme\WeatherCast\Uninst.exe tagged as not-a-virus:AdWare.SaveNow.f. No Action Taken.
File C:\Programme\WeatherCast\Weather.exe tagged as not-a-virus:AdWare.SaveNow.f. No Action Taken.
File C:\Programme\whInstall\Webhdll.dll tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Programme\whInstall\WhAgent.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Programme\whInstall\whiehlpr.dll tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Programme\whInstall\whInstaller.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Programme\whInstall\WhSurvey.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
File C:\Programme\WindowsSA\axuninstall.exe tagged as not-a-virus:AdWare.BlazeFind.b. No Action Taken.
File C:\Programme\WindowsSA\omniband.dll tagged as not-a-virus:AdWare.BlazeFind.e. No Action Taken.
File C:\Programme\WindowsSA\omniscient.exe tagged as not-a-virus:AdWare.BlazeFind.d. No Action Taken.
File C:\Programme\WindowsSA\omniscienthook.dll tagged as not-a-virus:AdWare.BlazeFind.d. No Action Taken.
File C:\Programme\WindowsSA\wsaupdater.exe tagged as not-a-virus:AdWare.BlazeFind.a. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc1.EXE infected by "TrojanDownloader.Win32.Dreamad" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc10.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc3\WSup.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc3\WToolsA.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc3\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc3\WToolsS.exe infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc4\IExploreSkins.exe tagged as not-a-virus:RiskWare.Tool.Exporun. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc4\TBPSSvc.exe tagged as not-a-virus:AdWare.WebSearch.b. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc5.dll tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc6.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc7.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc8.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\RECYCLER\S-1-5-21-434118592-1103819920-3930547883-1008\Dc9.dll_tobedeleted infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: File Deleted.
File D:\Tools\DiVX Video\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

wenn ihr echt das komplette log haben wollt, sagt mir wie ichs euch hier reinposten soll...

cacatoa 28.11.2004 10:07
Hi tripleJay,
um das ganze etwas einfacher zu machen:
Leere den Ordner C:\bases, wo der eScan drin ist. Laß aber den Ordner selbst bestehen. Lade dir den eScan (alte Version), den ich in meinem post verlinkt habe runter und entpacke ihn in C:\bases. Updaten und ausführen. Die Anleitung ist dieselbe. Grund: die alte Version killt die gefundenen Dinge, die neue nicht. Und was dann noch überbleiben sollte, erledigen wir von Hand.
Poste dann das eScan Log wieder rein.
cacatoa

TripleJay 28.11.2004 12:17
ich hatte die version, die du gepostet hast...und alles genauso gemacht wie du gesagt hattetest...erst alles in bases entpackt, dann update gemacht und im abgesucherten modus laufen lassen....das ganze hatte dann über ne stunde gedauert und der blaze war dennoch da...die prozedur also nochmal??

cacatoa 28.11.2004 12:24
Sorry, ich geb Dir recht... :headbang:
Benutze dann bitte folgendes:
clearprog 1.4.0 final, auf "alles Löschen" clicken, dann beenden; damit sind alle temp und temp.Internetfiles weg. (Hatte ich Dir schon mal empfohlen).
Dann lade Dir mal AdAware SE mit den Sprachdateien runter, update es und lass es scannen.
Lass es alles löschen, was es findet. Leere dann auch den Quarantäneordner. Poste dann, ob er alles gefunden hat.
Ganz am Anfang sagte ich, mit Deinem Backdoortrojaner sei nicht zu spaßen. Wir wissen nicht, was er alles angerichtet hat. Wenn nichts mehr hilft, dann eben doch System neu aufsetzen.
cacatoa

TripleJay 28.11.2004 14:10
wow...jetzt sind so gut wie alle sachen behoben, die einzige sache die spybot noch anzeigt ist mediaplex....vielen dank....ohne eure, oder vielmer deine hilfe, wäre ich aufgeschmissen gewesen

cacatoa 28.11.2004 14:11
Wenn spybot noch mediaplex anzeigt, laß es entfernen; geh dann auf wiederherstellung und lösche auch die Quarantäne.
Also, bleib "sauber"!
cacatoa ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131